安全开发标准 ISO27034浅析

  系统安全、应用安全、敏感信息的保护等话题已经成为软件企业不能回避的挑战,如何在开发过程中制度化、流程化地实现安全特性,是所有软件企业都要着重考虑的问题。国际标准ISO27034是一个系统性解决以上问题的方案,它清晰地定义了实际应用中软件系统面临的风险,同时为不同类型的软件开发组织提供了一套可以灵活应用的方法。

  安全性的方式,能够让安全性成为企业的竞争优势。另一方面,对购买软件和服务的客户来说,这一标准可以作为一个简单明确的“语言”,促使开发者实施安全开发。

  软件安全标准需求迫切

  根据Forrester在2011年的一项调查,关于开发过程中的安全性问题,有14%的企业完全没有考虑, 49%的企业部分程度上认识到了这个挑战,只有37%的软件企业拥有明确的安全开发战略。很多软件企业还没有在足够的高度上认知开发安全性,只是把安全性作为一个战术层面或者简单的规范,没有实施端到端的战略方法。在开发过程缺乏对安全性的控制,很明显会把风险从开发过程转移到软件运行阶段。

  实际上,在安全性方面进行投入会有丰厚的回报。2011年Aberdeen的报告中指出了8个提升投资回报率的方法,其中实施安全战略,软件企业可以获得超过4倍的ROI。对软件企业来说,实施安全战略还有更多好处。软件开发企业Itron应用了微软的SDL(软件安全生命周期)战略,他们说已经有很多客户在询问安全开问题,而应用SDL不仅可以很清晰明确地地告诉客户“我们有很全面的安全计划”。

  有标准,好办事

  对软件客户来说,在考虑开发者是否提供足够安全性时,可能会提出类似以下的问题:你们的代码扫描工具实时很么?你们有没有足够的人负责安全?你们的安全措施和别人一样么?提出这些问题看似能让自己安心,但是有的时候并不能真正切中要害,同时很重要的一点,是对安全性的部分确认,等于鼓励对方只进行部分实施。

  从安全战略角度,以上担心更好的解决方案是从系统性方面提出问题:在安全性方面,你们是否有公司层面的策略和管理支持?你们对风险的评估和改善是否考虑全面?在软件生命周期中安全性的实施如何保证?随着问题越来越多,可以把所有疑问替换为一个问题获得终极答案:你们企业是否试试了ISO 27034?

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:最大网游盗号案 36人黑客团伙盗数亿账号